⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Inspect File Upload Surface

Objetivo

Determinar si las features de upload crean paths inseguros de ejecución, storage, parser o exposición.

Supuestos

  • los uploads pueden estar validados débilmente
  • el post-processing suele ser más riesgoso que el upload en sí
  • los paths de storage y serving pueden cruzar trust boundaries

Prerrequisitos

  • una o más features de upload o importación
  • capacidad de inspeccionar storage, comportamiento de response o efectos laterales del processing donde esté autorizado

Pasos de recon

  1. Mapeá todos los puntos de entrada de upload e importación.
  2. Identificá dónde se almacenan, transforman, previewean o sirven los archivos.
  3. Notá extensiones permitidas, manejo MIME, naming y exposición pública.

Pasos de exploit / testing

  1. Compará checks de extensión contra comportamiento real del parser.
  2. Testeá si el contenido subido se sirve desde contextos ejecutables o demasiado confiables.
  3. Probá paths de processing de archives y documentos.
  4. Inspeccioná manejo de filename y supuestos de path.
  5. Buscá URLs públicas predecibles o exposición indirecta de archivos almacenados.

Señales de validación

  • tipos de archivo inseguros son aceptados o mal manejados
  • contenido subido se vuelve públicamente alcanzable de forma inesperada
  • el path de processing revela issues de parser o storage
  • los archivos pueden influir en rendering downstream o comportamiento del servidor

Mitigación

  • validar más que solo la extensión
  • aislar paths de storage y serving
  • evitar contextos con capacidad de ejecución
  • revisar previews/transforms como parte de la superficie de ataque
  • usar referencias indirectas y naming seguro

Logging / detección

  • combinaciones MIME/tipo de upload inusuales
  • intentos repetidos de processing fallido
  • acceso público a archivos que deberían permanecer privados

Notas relacionadas

Referencias

  • Testing / Lab: PortSwigger file upload vulnerabilities — https://portswigger.net/web-security/file-upload
  • Fundamental: OWASP WSTG — https://owasp.org/www-project-web-security-testing-guide/latest/

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit IDORDeterminar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.